Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
mcdaniels
Beiträge: 460
Registriert: 09.01.2006 23:31:02
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Steiermark
Kontaktdaten:

Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von mcdaniels » 18.02.2023 09:31:24

Hallo zusammen,

bzgl. dem (automatischen) Aktualisieren von Debian gibt es ja einige verschiedene Ansätze. (cron-apt, unattended-updates, apticron etc). Was spricht dagegen, dass - wenn man ein funktionierendes System hat und keine weiteren Programme mehr benötigt - in der /etc/apt/sources.list nur noch die sicherheitsrelevanten Repositories aktiv zu haben und das System mittels apt-get update / upgrade aktuell zu halten.

Bei mir wäre das z.B. dann so (bitte ignorieren, dass es testing ist). Bei einem Server würde ich natürlich auf stable setzen:

Code: Alles auswählen

#deb http://ftp.at.debian.org/debian/ testing main contrib non-free
#deb-src http://ftp.at.debian.org/debian/ testing main contrib non-free

deb http://security.debian.org/debian-security testing-security main contrib non-free
deb-src http://security.debian.org/debian-security testing-security main contrib non-free
Klar, bei einer Desktopinstallation macht das wahrscheinlich weniger Sinn. Gerade bei Serverinstallationen, wäre es aber insofern eine Vereinfachung, dass man einfach sagt: Gut, Server läuft - neue Dienste / Programme kommen nicht dazu, also spiel ich die sicherheitsrelevanten Pakete einfach mittels:

Code: Alles auswählen

apt-get update && apt-get upgrade -y
täglich via crontab um 03.00h in der Früh ein (zb) und starte dann das System automatisch neu, sofern es Aktualisierungen gab. (damit die aktuellen Pakete auch zum Einsatz kommen).

Soweit ich nichts übersehe, bräuchte es da dann eigentlich keine Zusatzsoftware (wie zb cron-apt, apticron etc).

Danke für eure Meinung.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von uname » 18.02.2023 09:51:25

Ich würde die Standardquellen belassen und einfach UnattendedUpgrades verwenden. Es wird doch auch dort nur das installiert, was sicherheitskritisch ist. Oder du lässt einfach alle Sicherheitsupdates weg und liest von Zeit zu Zeit einfach https://www.debian.org/security . Wenn dort nichts für dich dabei ist, dann kannst du die Sicherheitsupdates auch noch ignorieren.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von thoerb » 18.02.2023 10:42:06

uname hat geschrieben: ↑ zum Beitrag ↑
18.02.2023 09:51:25
Oder du lässt einfach alle Sicherheitsupdates weg und liest von Zeit zu Zeit einfach https://www.debian.org/security .
Oder man trägt sich dort gleich in die Mailingliste ein, dann bekommt man immer aktuelle Informationen über Updates per E-Mail.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von MSfree » 18.02.2023 11:35:21

mcdaniels hat geschrieben: ↑ zum Beitrag ↑
18.02.2023 09:31:24
Was spricht dagegen, dass - wenn man ein funktionierendes System hat und keine weiteren Programme mehr benötigt
Gegenfrage: Was spricht deiner Ansicht nach dafür?
Für mich ergibt das keinen Sinn. Es spart höchstens ein paar völlig irrelevante Megabyte an Plattenplatz, Zeit und Datenmenge wird so gut wie keine gespart. Vor "versehentlichen" Installationen schützt es ebenfalls nicht, weil man die ohne hin auf der Kommandozeile ganz gezielt ausführen müßte.
Bei einem Server würde ich natürlich auf stable setzen:
Lieber nicht. Bei einem Server würde man das auf Buster, Bullseye oder Bookworm setzen, aber nicht auf stable.

Benutzeravatar
mcdaniels
Beiträge: 460
Registriert: 09.01.2006 23:31:02
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Steiermark
Kontaktdaten:

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von mcdaniels » 19.02.2023 09:09:25

uname hat geschrieben: ↑ zum Beitrag ↑
18.02.2023 09:51:25
Oder du lässt einfach alle Sicherheitsupdates weg und liest von Zeit zu Zeit einfach https://www.debian.org/security .
automatisch wäre mir schon lieber.
thoerb hat geschrieben: ↑ zum Beitrag ↑
18.02.2023 10:42:06
Oder man trägt sich dort gleich in die Mailingliste ein, dann bekommt man immer aktuelle Informationen über Updates per E-Mail.
uname hat geschrieben: ↑ zum Beitrag ↑
18.02.2023 09:51:25
Ich würde die Standardquellen belassen und einfach UnattendedUpgrades verwenden. Es wird doch auch dort nur das installiert, was sicherheitskritisch ist. Oder du lässt einfach alle Sicherheitsupdates weg und liest von Zeit zu Zeit einfach https://www.debian.org/security . Wenn dort nichts für dich dabei ist, dann kannst du die Sicherheitsupdates auch noch ignorieren.
Dort bin ich eingetragen & lese mit ;)

unattended-upgrades wären aber sicher auch eine Option.
MSfree hat geschrieben: ↑ zum Beitrag ↑
18.02.2023 11:35:21
mcdaniels hat geschrieben: ↑ zum Beitrag ↑
18.02.2023 09:31:24
Was spricht dagegen, dass - wenn man ein funktionierendes System hat und keine weiteren Programme mehr benötigt
Gegenfrage: Was spricht deiner Ansicht nach dafür?
Für mich ergibt das keinen Sinn. Es spart höchstens ein paar völlig irrelevante Megabyte an Plattenplatz, Zeit und Datenmenge wird so gut wie keine gespart. Vor "versehentlichen" Installationen schützt es ebenfalls nicht, weil man die ohne hin auf der Kommandozeile ganz gezielt ausführen müßte.
Bei einem Server würde ich natürlich auf stable setzen:
Lieber nicht. Bei einem Server würde man das auf Buster, Bullseye oder Bookworm setzen, aber nicht auf stable.
Mit stable meinte ich die aktuelle STABLE Version von Debian. ;-)

Was dafür spricht ist meiner Meinung nach, dass das ohne viel Konfiguration funktioniert und (sofern noch nicht vorinstalliert) keine zusätzlichen Pakete installiert werden müssten.

Rein von der Logik her, müsste es ja an sich problemlos laufen?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von MSfree » 19.02.2023 10:31:09

mcdaniels hat geschrieben: ↑ zum Beitrag ↑
19.02.2023 09:09:25
Mit stable meinte ich die aktuelle STABLE Version von Debian. ;-)
Dann nenne das Kind doch beim Namen, denn das aktuelle stable ist bullseye, und genau so gehört es in die sources.list.
Was dafür spricht ist meiner Meinung nach, dass das ohne viel Konfiguration funktioniert
Es schadet halt, wenn du das Standardrepository aus der sources.list löschst.
und (sofern noch nicht vorinstalliert) keine zusätzlichen Pakete installiert werden müssten.
Du willst aber die Point-Releases auch mitbekommen, und das fehlt dann, wenn du nur security in der sources.list hast.
Rein von der Logik her, müsste es ja an sich problemlos laufen?
Nochmal, es ist einfach Unsinn, das zu machen. und es wird dir auf jeden Fall in der Zukunft Probleme bereiten.

Welche Angst treibt dich denn? Die Paketverwaltung wird nicht heimlich irgendwelche Zusatzpakete installieren, wenn du das Standardrepository drin läßt. Das dist-upgrade auf das nächste Pointrelease geht dann nicht. Insgesammt schadet das deinem System mehr als du meinst, daß es nützen könnte.

michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von michaa7 » 19.02.2023 14:47:40

testing-security ? Wußte nichtmal dass es das gibt, und der Sicherheitsgewinn erscheint fragwürdig:
F: Wie wird die Sicherheit für Testing gehandhabt?

A: Die Sicherheit für Testing profitiert von den Bemühungen des ganzen Projekts, die Sicherheit für Unstable zu gewährleisten. Allerdings gibt es eine minimale zweitägige Verzögerung für die Migration der Korrekturen und manchmal können Sicherheitskorrekturen auch durch Versionsübergänge verzögert/aufgehalten werden. Das Sicherheitsteam hilft bei solchen Übergängen, indem wichtige Sicherheits-Uploads zurückgehalten werden, aber dies ist nicht immer möglich und dabei könnten auch Verzögerungen auftreten. Speziell in den Monaten nach einer neuen Stable-Veröffentlichung, wenn viele neue Versionen nach Unstable hochgeladen werden, könnten Sicherheitskorrekturen für Testing hinterher hinken. Falls Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen nachdrücklich empfohlen, bei Stable zu bleiben.
https://www.debian.org/security/faq#testing
Zuletzt geändert: Sonntag den 28. Aug 2022

Wenn Sicherheit für dich ein so relevantes Thema darstellt wärst du mit ***un***-stable besser bedient. Mal ganz abgesehen von der Frage ob und wie sich in unstable->testing ein Bug von einem sicherheitsrelevanten Bug unterscheiden läßt, testing hinkt immer hinterher. Ich halte dein ganzes Unterfangen für vergeudete Zeit und Energie.
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

Benutzeravatar
mcdaniels
Beiträge: 460
Registriert: 09.01.2006 23:31:02
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Steiermark
Kontaktdaten:

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von mcdaniels » 20.02.2023 20:22:09

MSfree hat geschrieben: ↑ zum Beitrag ↑
19.02.2023 10:31:09
mcdaniels hat geschrieben: ↑ zum Beitrag ↑
19.02.2023 09:09:25
Mit stable meinte ich die aktuelle STABLE Version von Debian. ;-)
Dann nenne das Kind doch beim Namen, denn das aktuelle stable ist bullseye, und genau so gehört es in die sources.list.
Was dafür spricht ist meiner Meinung nach, dass das ohne viel Konfiguration funktioniert
Es schadet halt, wenn du das Standardrepository aus der sources.list löschst.
und (sofern noch nicht vorinstalliert) keine zusätzlichen Pakete installiert werden müssten.
Du willst aber die Point-Releases auch mitbekommen, und das fehlt dann, wenn du nur security in der sources.list hast.
Rein von der Logik her, müsste es ja an sich problemlos laufen?
Nochmal, es ist einfach Unsinn, das zu machen. und es wird dir auf jeden Fall in der Zukunft Probleme bereiten.

Welche Angst treibt dich denn? Die Paketverwaltung wird nicht heimlich irgendwelche Zusatzpakete installieren, wenn du das Standardrepository drin läßt. Das dist-upgrade auf das nächste Pointrelease geht dann nicht. Insgesammt schadet das deinem System mehr als du meinst, daß es nützen könnte.
Mich treibt gar keine Angst an -- keine Angst. :)

Ich würde auch apt nie unterstellen, dass es heimlich und auf magische Weise etwas installiert. Ist ja kein MS Windows, nicht.

Ich fragte mich nur, ob das in dieser Variante denn auch möglich ist oder nicht. Die Begleiterscheinungen (zb wg. d. Dist-Upgrades etc) sind mir bekannt.

Es ging mir ausschließlich darum, wenn man ein jetzt aktuell gerade Bullseye betreibt und keine weiteren Pakete benötigt und sich dessen bewusst ist, dass man keine Dist-upgrades fahren kann und das im Moment auch nicht will, es rein theoretisch gesehen möglich wäre, auf alle zusätzlichen Dienste die Updates automatisch einspielen zu verzichten und ganz einfach nur die Security-Updates via apt-get upgrade einzuspielen. (und die anderen Paketquellen in der sources.list zu deaktiveren - nicht zu löschen).

ein cron-apt macht ja eigentlich auch nix Anderes, hier greift man ja ebenso auf eine separate security-list.conf mit den Repos d. Sicherheitsupdates zurück, die dann automatisch eingespielt werden. (wenn man das so konfiguriert hat). Von daher gesehen, würde ein cron-apt, das nur Sicherheitsupdates automatisch einspielt, ja auch Blödsinn machen.
michaa7 hat geschrieben: ↑ zum Beitrag ↑
19.02.2023 14:47:40
testing-security ? Wußte nichtmal dass es das gibt, und der Sicherheitsgewinn erscheint fragwürdig:
F: Wie wird die Sicherheit für Testing gehandhabt?

A: Die Sicherheit für Testing profitiert von den Bemühungen des ganzen Projekts, die Sicherheit für Unstable zu gewährleisten. Allerdings gibt es eine minimale zweitägige Verzögerung für die Migration der Korrekturen und manchmal können Sicherheitskorrekturen auch durch Versionsübergänge verzögert/aufgehalten werden. Das Sicherheitsteam hilft bei solchen Übergängen, indem wichtige Sicherheits-Uploads zurückgehalten werden, aber dies ist nicht immer möglich und dabei könnten auch Verzögerungen auftreten. Speziell in den Monaten nach einer neuen Stable-Veröffentlichung, wenn viele neue Versionen nach Unstable hochgeladen werden, könnten Sicherheitskorrekturen für Testing hinterher hinken. Falls Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen nachdrücklich empfohlen, bei Stable zu bleiben.
https://www.debian.org/security/faq#testing
Zuletzt geändert: Sonntag den 28. Aug 2022

Wenn Sicherheit für dich ein so relevantes Thema darstellt wärst du mit ***un***-stable besser bedient. Mal ganz abgesehen von der Frage ob und wie sich in unstable->testing ein Bug von einem sicherheitsrelevanten Bug unterscheiden läßt, testing hinkt immer hinterher. Ich halte dein ganzes Unterfangen für vergeudete Zeit und Energie.
Siehst du, hast du was gelernt bzgl. testing-security ;) ;)

Och, grade bei "Linux" gibt es sowas wie vergeudete Zeit und Energie nicht. Hier ist alles interessant und man lernt immer was dazu.

Ja, ich kenne die Handhabung bzgl. Testing-Security. (Deshalb schrieb ich auch, beim Einstiegspost -- bitte das Testing zu ignorieren. Ich beziehe das auf stable d.h. aktuell Bullseye)

michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von michaa7 » 21.02.2023 14:40:37

mcdaniels hat geschrieben: ↑ zum Beitrag ↑
20.02.2023 20:22:09
Ich beziehe das auf stable d.h. aktuell Bullseye)
AAHHHsooooooo ....
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

KP97
Beiträge: 3403
Registriert: 01.02.2013 15:07:36

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von KP97 » 21.02.2023 18:30:29

@mcdaniels
Versuch macht kluch...
Da Du ja nun kein Anfänger bist und weißt was Du tust, würde ich das einfach so ausprobieren.
Was soll da schon schief gehen? Ein full-upgrade willst Du nicht, Du willst ja den bisherigen Zustand unverändert beibehalten.
Ob da aber was im security-Repo auftaucht, wirst Du dann sehen. Normalerweise ist das recht leer.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von fischig » 21.02.2023 20:00:26

KP97 hat geschrieben:Ob da aber was im security-Repo auftaucht, wirst Du dann sehen. Normalerweise ist das recht leer.
Ein einfaches upgrade bei ist eh Mumpitz. Ich führe nur dist-upgrades durch. Und da kommt dann schon einiges auch aus security. Ich denke auch, dass das machbar ist, was der TE vorhat, halte es aber für ziemlich sinnfreie Spielerei.

Benutzeravatar
mcdaniels
Beiträge: 460
Registriert: 09.01.2006 23:31:02
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Steiermark
Kontaktdaten:

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von mcdaniels » 22.02.2023 12:01:08

fischig hat geschrieben: ↑ zum Beitrag ↑
21.02.2023 20:00:26
KP97 hat geschrieben:Ob da aber was im security-Repo auftaucht, wirst Du dann sehen. Normalerweise ist das recht leer.
Ein einfaches upgrade bei ist eh Mumpitz. Ich führe nur dist-upgrades durch. Und da kommt dann schon einiges auch aus security. Ich denke auch, dass das machbar ist, was der TE vorhat, halte es aber für ziemlich sinnfreie Spielerei.
Ich hätte Anfangs das Testing nicht erwähnen sollen. Ich hab das zwar dann im Verlaufe des Threads relativiert und darauf hingewiesen, dass ich das auf die jeweilige Stabledistri beziehe, es war aber irreführend und schlecht formuliert. Sorry, mein Fehler.

Gerade auf Server bezogen, find ich das nicht so "übel", weil ja ein cron-apt, das nur die Security-Repos abfragt, eigentlich so agiert. Müsste also auch auf einen normalen Desktop PC umlegbar sein, wenngleich es dort nicht wirklich sinnvoll ist, weil da (ich kann nur für mich sprechen) öfter mal etwas nachinstalliert / deinstalliert etc. wird.

Ich finde halt, dass man -sofern man eben nur die Security-Updates einspielen will - (v.a. auf einem Server) man schneller ist und weniger zu konfigurieren hat, wie mit den div. Zusatztools. Unattended-Upgrades wurde oben ja vorgeschlagen. Wäre sicher auch eine Variante.

Jedenfalls vielen Dank für eure Geduld und die Antworten!

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von fischig » 23.02.2023 09:49:45

mcdaniels hat geschrieben:Ich finde halt, dass man -sofern man eben nur die Security-Updates einspielen will - (v.a. auf einem Server) man schneller ist und weniger zu konfigurieren hat, wie mit den div. Zusatztools.
Vermag ich mangels „Server“-Erfahrungen nicht nachzuvollziehen.
mcdaniels hat geschrieben:Ich hätte Anfangs das Testing nicht erwähnen sollen. Ich hab das zwar dann im Verlaufe des Threads relativiert und darauf hingewiesen, dass ich das auf die jeweilige Stabledistri beziehe, es war aber irreführend
Mich hat das nicht irritiert. ich benutze nur stable und nur darauf bezog ich mich.

Mit dist-upgrade bezog ich mich ausschließlich auf das Upgraden des laufenden stable, nicht auf einen Release-Wechsel. War vielleicht missverständlich meinerseits formuliert.

KP97
Beiträge: 3403
Registriert: 01.02.2013 15:07:36

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von KP97 » 23.02.2023 14:09:26

fischig hat geschrieben: ↑ zum Beitrag ↑
23.02.2023 09:49:45
Mit dist-upgrade bezog ich mich ausschließlich auf das Upgraden des laufenden stable, nicht auf einen Release-Wechsel. War vielleicht missverständlich meinerseits formuliert.
Nein, war's nicht, ein full-upgrade bzw. dist-upgrade sollte man immer machen, auch bei stable.
Warum diskutiert der TE das eigentlich, anstatt es so zu machen wie er will? Wie ich schon erwähnt habe, Anfänger ist er ja nicht.

Benutzeravatar
mcdaniels
Beiträge: 460
Registriert: 09.01.2006 23:31:02
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Steiermark
Kontaktdaten:

Re: Paketverwaltung - nur Security-Repos aktivieren und via crontab täglich abfragen / einspielen

Beitrag von mcdaniels » 23.02.2023 22:47:48

KP97 hat geschrieben: ↑ zum Beitrag ↑
23.02.2023 14:09:26
fischig hat geschrieben: ↑ zum Beitrag ↑
23.02.2023 09:49:45
Mit dist-upgrade bezog ich mich ausschließlich auf das Upgraden des laufenden stable, nicht auf einen Release-Wechsel. War vielleicht missverständlich meinerseits formuliert.
Nein, war's nicht, ein full-upgrade bzw. dist-upgrade sollte man immer machen, auch bei stable.
Warum diskutiert der TE das eigentlich, anstatt es so zu machen wie er will? Wie ich schon erwähnt habe, Anfänger ist er ja nicht.
Diskutiert hab ichs deshalb, weil ich einfach die Meinung der Gurus lesen wollte. Ich mache es aktuell schon 1-2 Monate mit meinen Proxmox VMs (private Serverspielerei Debian 11 -- Bullseye) so. Auf die Idee gekommen bin ich eigentlich, nachdem ich wiedermal cron-apt "konfiguriert" hatte und mir bewusst wurde, dass das ja nix anderes ist, wie einfach nur die "Security-Repos" abzufragen und dann -wenn was da ist - zu Pakete zu installieren. Gerade bei Servern kommt in der Regel, wenn alles läuft nix Neues mehr dazu (betriebsblind --hätte mir schon früher in den Sinn kommen können) ;-)

Daraus entstand dann die Idee, bei einem System bei dem alles läuft (v.a. bei Servern), halt gleich nur die Security-Repositories aktiv zu lassen und das via crontab automatisch abzuwickeln (apt-get update && apt-get upgrade oder eben apt-get dist-upgrade --> wobei ich hab bislang immer nur upgrade und kein dist-upgrade verwendet). Finde, das ist weniger Aufwand, wie zb einen cron-apt zu konfigurieren und tut das Gleiche. So gesehen, wäre das "Tool" in dem Fall ja fast obsolet. Gut, cron-apt kann auch "out of the box" Benachrichtigungen senden usw. (wenn man es braucht).

Jedenfalls danke für eure Einwürfe, Ideen und Anregungen! :hail:

Antworten